[新产品/新功能] 公开预览：Azure Bastion 现已支持通过隧道连接私有 AKS 集群

[新产品/新功能] 公开预览：Azure Bastion 现已支持通过隧道连接私有 AKS 集群   # 产品功能分析 ## 新功能/新产品概述 Azure Bastion现已支持通过**隧道技术 (tunneling)** 安全地连接到私有的Azure Kubernetes Service (AKS)集群。该功能允许用户从本地计算机，经由**Azure Bastion**服务作为安全中继，直接与私有AKS集群的**API Server**建立连接。此功能旨在解决访问私有云原生环境的复杂性和安全挑战。传统上，访问一个没有公共IP地址的AKS集群需要配置复杂的**VPN网关**、**堡垒机 (Jump Box)**或**VNet对等连接**。新功能通过提供一个完全托管、平台原生的解决方案，极大地简化了这一流程。目标用户群为需要管理和操作部署在安全隔离网络环境中的AKS集群的开发人员、运维工程师(DevOps/SRE)以及第三方合作伙伴。它将复杂的网络配置抽象化，使用户能像访问公共集群一样，使用`kubectl`等标准Kubernetes工具进行无缝操作。 ## 关键客户价值 - **简化安全访问模型** - 用户无需再部署、配置和维护VPN或堡垒机等额外的基础设施来访问私有集群，显著降低了运维开销和架构复杂性。 - 与竞品（如AWS SSM Session Manager或GCP IAP for TCP forwarding）提供的类似功能对标，Azure通过将其集成到成熟的Bastion服务中，为用户提供了一致且统一的安全接入体验，覆盖了从虚拟机(RDP/SSH)到容器编排(Kubernetes API)的多种场景。 - **提升安全态势** - 通过避免将AKS **API Server**暴露在公网上，从根本上消除了来自互联网的直接攻击风险，显著收缩了集群的攻击面。 - 所有连接都强制通过**Azure Bastion**这一安全加固的托管服务进行代理和加密，可以与Azure的身份认证和访问控制（如Azure AD）集成，实现基于**零信任网络访问 (ZTNA)**原则的精细化权限管理。 - **优化开发者与运维体验** - 开发者和运维人员可以从任何地方（办公室、家庭或移动办公）使用他们熟悉的本地工具（如`kubectl`, Lens, K9s）直接与私有集群交互，无需改变现有工作流。 - 这种无缝的连接体验消除了环境切换带来的摩擦，使远程协作和故障排查更加高效，尤其适用于混合办公模式下的团队。 ## 关键技术洞察 - 该功能的核心是利用**Azure Bastion**作为**TCP转发代理**，在用户本地计算机和私有AKS集群的API Server之间建立一个安全的**WebSocket隧道**。 - 工作原理：用户通过Azure CLI发起连接请求后，会在本地启动一个监听端口。所有发送到该端口的Kubernetes API请求（本质上是HTTPS流量）都会被封装在安全的WebSocket连接中，通过公网发送到Azure Bastion服务。Bastion服务在Azure虚拟网络内部，能够直接访问私有AKS集群的API Server，它会将接收到的流量解包并转发至目标API Server，从而完成整个通信链路。 - 这项技术创新的关键点在于将成熟的**安全隧道**技术与Azure的身份、网络和Kubernetes服务进行了深度产品化集成，而非技术本身的革新。它将复杂的网络代理和凭证管理流程自动化，为用户提供了一键式的连接体验。 - 此方案对性能的影响主要体现在网络延迟上，因为所有流量都增加了一次Bastion服务的中转。对于交互式的管理命令（如`kubectl get pods`），这种延迟通常在可接受范围内；但对于需要大规模数据传输的场景（如大批量日志拉取），可能会有性能瓶颈。   # 公开预览：Azure Bastion 现已支持通过隧道连接到私有 AKS 集群 **发布时间:** 2025-08-20 **厂商:** Azure **类型:** Updates --- 在此版本中，您可以使用标准的 Kubernetes 工具，通过 Azure Bastion 从本地计算机直接与您的 AKS API 服务器建立安全隧道 (secure tunnel)。该功能可以无缝访问私有集群和启用了 API 服务器授权 IP 范围的公有集群。现在，您无需复杂的 VPN、堡垒机 (jump boxes) 或暴露公有端点，即可从任何地方安全地连接到集群的 API 服务器。对于使用私有 AKS 环境的开发人员、运维人员和合作伙伴而言，这在简化安全访问方面是一项重大进步。 [了解更多](https://learn.microsoft.com/en-us/azure/bastion/bastion-connect-to-aks-private-cluster)